Faille PDF : précisions de Didier Stevens et réactions des éditeurs
Possible Destruction Format
Didier Stevens, chercheur en sécurité, a démontré sur son site un Proof of Concept sur le format PDF (notre actualité). Cette exploitation permet de faire exécuter par une ligne de commande un programme dans un PDF. Sur Adobe Reader, un message alertait certes l'utilisateur pour lui demander l’autorisation d’exécuter, mais une bidouille permet de masquer l’alerte dans la boite de dialogue via des lignes de texte destinées à le mettre en confiance. Sur Foxit Reader, c’est pire : la démonstration de Didier Stevens montrait que le lecteur lance l' exécutable appelé par le PDF sans alerte l’utilisateur.
Nous indiquions hier que Frédéric Raynal, un autre chercheur, présentait déjà des travaux similaires fin 2008 relatifs aux dangers du PDF. Didier Stevens nous a contactés pour nous apporter une précision importante : « en mars 2008, Éric Filiol(*) parle de la commande /Launch lors de sa présentation a Black Hat Amsterdam. J'étais présent ». Didier nous indique par ailleurs qu’il avait présenté ces travaux avec Fred Raynal en octobre 2009, à hack.lu. La rectification est apportée.
Une vidéo décrit par ailleurs cette découverte :
Côté éditeurs, Adobe et FoxIT ont tous les deux rapidement indiqué qu’ils allaient enquêter sur ces brèches de sécurité. Chez FoxIt, où la faille était réellement importante, l’équipe a mis à disposition une mise à jour. Désormais, comme Adobe Reader, l'utilisateur est alerté par une boîte de dialogue.
(*) Chercheur lieutenant-colonel de l'Armée de Terre française, expert français en sécurité informatique et spécialisé en cryptologie et virologie.
Nous indiquions hier que Frédéric Raynal, un autre chercheur, présentait déjà des travaux similaires fin 2008 relatifs aux dangers du PDF. Didier Stevens nous a contactés pour nous apporter une précision importante : « en mars 2008, Éric Filiol(*) parle de la commande /Launch lors de sa présentation a Black Hat Amsterdam. J'étais présent ». Didier nous indique par ailleurs qu’il avait présenté ces travaux avec Fred Raynal en octobre 2009, à hack.lu. La rectification est apportée.
Une vidéo décrit par ailleurs cette découverte :
Côté éditeurs, Adobe et FoxIT ont tous les deux rapidement indiqué qu’ils allaient enquêter sur ces brèches de sécurité. Chez FoxIt, où la faille était réellement importante, l’équipe a mis à disposition une mise à jour. Désormais, comme Adobe Reader, l'utilisateur est alerté par une boîte de dialogue.
(*) Chercheur lieutenant-colonel de l'Armée de Terre française, expert français en sécurité informatique et spécialisé en cryptologie et virologie.
Marc Rees
le 2 avril 2010 à 09:47
(17 176
lectures)
Actualités et brèves relatives
- 02 / 04 / 2010 : Firefox 3.6.3 corrige une faille critique présentée au Pwn2Own
- 01 / 04 / 2010 : Faille : une application iPhone expose des photos privées
- 01 / 04 / 2010 : Un chercheur (re)découvre l’insécurité du format PDF
- 25 / 03 / 2010 : Concours Pwn2Own : tous les navigateurs ont été piratés
- 23 / 03 / 2010 : Firefox 3.6.2 corrige une faille de sécurité critique
- 19 / 03 / 2010 : OS X : Charlie Miller dévoilera 20 failles 0-day à la fin du mois
- 17 / 03 / 2010 : Faille de sécurité sur le fichier clients de Voyages-sncf.com
- 11 / 03 / 2010 : La récente faille 0-Day d’Internet Explorer déjà exploitée
